Atlassian披露了其部分产品中的一个严重漏洞,可利用该漏洞使远程攻击者能够在部分 Jira 数据中心产品中执行任意代码。跟踪为 CVE-2020-36239 的漏洞存在于 Jira Data Center、Jira Core Data Center、Jira Software Data Center 和 Jira Service Management Data Center 产品中。
该漏洞是 Jira 的 Ehcache 实现中缺少身份验证缺陷的结果,Ehcache 是一种广泛使用的开源缓存,Java应用程序使用它来增强性能和可扩展性。
上个月,Check Point Research 的网络安全研究人员在 Atlassian 的协作软件和开发工具中发现了安全漏洞,这些漏洞可能被利用来发起类似SolarWinds 的供应链攻击。
利用 Jira 数据中心产品中新修补的漏洞,远程攻击者可以连接到 Ehcache 的 RMI(远程方法调用)端口,而无需要求任何身份验证信息,使他们有机会通过对象反序列化在 Jira 中执行他们选择的任意代码。
在BleepingComputer看到的电子邮件公告中,Atlassian 敦促其企业客户立即升级到这些产品的补丁版本。
Atlassian 还为无法立即更新受影响实例的客户发布了解决方法,这基本上涉及将受影响产品上的 Ehcache RMI 端口的访问限制为仅集群实例。
Mayank Sharma 在 Linux 上有近 20 年的写作和报告经验,他希望每个人都认为他是TechRadar Pro在该主题上的专家。当然,他对其他计算主题也同样感兴趣,尤其是网络安全、云、容器和编码。